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Abstract of DE1 01 36335 

The invention relates to a processor comprising a first arithmetic-loaic unit 
(2 a second arithmetic-logic unit (4) and a control devi c rf6) for Sr^l 
• EE f^™« c -^ c ""its (2, 4). The control devTce con?o K 'SSSSSS 
logic units in such a manner that they operate as desired in I hinh «^7„7r. 
operational mode, in which complement^ data to^SSid SffiT^ 
parallel operational mode, in which independent data°fprocessed or in a 
security operational mode, in which the same the data is SoSssed o are 
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Prufungsantrag gem. § 44 PatG ist gestellt 

(S) Prozessor mit rnehreren Rechenwerken 

(57) Ein Prozessor umfafct ein erstes Rechenwerk (2), ein 
zweites Rechenwerk (4) und eine Steuereinrichtung (6) 
zum Ansteuern der beiden Rechenwerke (2, 4), derart, 
daft diese wahlweise in einer komplementare Daten ver- 
arbeitenden Hochsicherheitsbetriebsart oder in einer un- 
abhangige Daten verarbeitenden Parallelbetriebsart oder 
in einer gleiche Daten verarbeitenden Sicherheitsbe- 
triebsart arbeiten oder sich in einer Lerstungssparbe- 
triebsart befinden, in der ernes der Rechenwerke (2, 4) ab- 
geschaltet ist. 
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Beschreibung . 

[0001] Die vorliegende Erfindung bezieht sich auf einen 
Prozessor mit mehreren Rechenwerken und insbesondere 
auf einen Prozessor mit mehreren Rechenwerken, die in ei- 
ner wahlbaren Betriebsart entsprechend der Dual-Rail-Lo- 
gik zusammenwkken konnen. 

[0002] Mikroprozessoren bzw. Controller fiir Chipkarten- 
anwendungen und andere kryptographische Anwendungen 
mussen haufig besonderen Sicherheitsbedingungen genii- 
gen. Bine der Hauptanforderungen ist die Sicherheit des Mi- 
kroprozessors gegen ein unberechligtes Auslesen geheimer 
Informationen, insbesondere iiber SeitenkarialangrifFe 
("side channel attacks"). Seitenkanalangriffe erfoLgen bei- 
spielsweise durch eine Erfassung der LeistungsaufnahrrLe ei- 
nes Prozessors oder iiber eine elektromagnetische oder elek- 
trostatische Erfassung von Signalfliissen, wobei aus den so 
gewonnenen Informationen Riickschliisse auf interne Yor- 
gange in dem Prozessor gezogen werden. konnen. Neben 
Hochsicherheitsaufgaben muB ein . Chipkartencontroller 
aber auch eine Vielzahl konventipneller Operatibnen aus- 
fiihren, bei den en eine hohe Lei stung einen groBen \forteil 
darstellt und einen wichtigen Marktvorteil eirgeben kann. 
Als Beispiele waren hier Anwendungen aus dem Mobil- 
funkbereich zu nennen, bei denen die eigeritliche Authenti- 
kalion nur einen sehr geringen Teil der Prograimnlaufzeii 
ausmacht. Trotzdem wird fiir diesen geringen Anteil die 
voile Sicherheit der Authentikation verlarigt. Ahnliches gilt 
auch fur eiektronische Geldborsen, sogar fiir die Geldkarte, 
denn auch bei diesen Anwendungen sind groBe Teile des 
Programmajblaufs wenig sicherheitskritisch, die eigentliche 
Authentikation ist jedoeh eine Hochsieherheitsaufgabe. . 
[0003] Eine hochsichere Ausfuhrung des Prozessorkerhs 
ist z. B. in der sog. Dual-Rail-Lqgik mit Preeharge moglich. 
Die Ausfuhrung eines Sicherheitsmikrocontroliers in Dual- 
Rail-Logik nfrit Preeharge ist eine wichtige MaRnahme ge- 
gen Seitenkanalangriffe, die heute eine groBe Bedrohung 
darstellen. Sie verursacht jedoch einen im Vergleich zu ei- 
nem herkomrnlichen Prozessor wirtschaftlich nachteiligen 
groBeren Flachenbedarf und kann durch die NoLwendigkeit 
mehrerer Taktphasen zu LeistungseinbuBen des Mikropro- 
zessors fuhren. Dies hat im Vergleich zu Standardarchitektu- 
ren eine geringere Rechenleistung bzw. einen geringen Da- 
tendurchsatz sowie einen erhohten Leistungsbedarf des Pro- 
zessors zur Folge. 

[0004] Die Aufgabe der vorliegenden Erfindung besteht 
darin, einen Prozessor mit erhohter Sicherheit zu sehaffen, 
der eine hohere Rechenleistung bzw. einen kleineren Lei- 
, stungsbedarf aufweist. 

[0005] Diese Aufgabe wird durch einen Prozessor gemaB 
Anspruch 1,,2, 3 oder 11 gelost. • ! 
[0006] Ein Prozessor .gemaB der vorliegenden Erfindung 
umfaBt ein erstes Rechenwerk, ein zweites Rechenwerk und 
eine Steuereinrichtung zurn Ansleuem der beiden Rechen- 
werke derart, daB diese wahlweise in einer komplementare 
Daten Yerarbeitenden Ilochsicherheitsbetriebsart oder in ei-r 
ncr unabhangigc Daten vcrarbcitcndcn Parallclbctricbsart 
arbeiten. Anstatt der Parallelbetriebsart oder zusatzlich kann 
als weitere Betriebsart eine Leistungssparbetriebsart, in der 
eines der Rechenwerke abgeschaltet ist, Oder eine Sicher- 
heitsbetriebsart, in der beide Rechenwerke parallel gleiche 
Daten verarbeiten, vorgesehen sein. 

[0007] GemaB einem bevorzugten Ausfuhrungsbeispiel 
der vorliegenden Erfindung umfaBt ein Prozessor femer eine 
schaltbare Komplementierungseinrichtung mit einem Aus- 
gang, der mit einem Eitigang des zweiten Rechenwerks ver- 
bunden ist, zumEmpfangen von Daten und zum wahlweisen 
Ausgeben der erapfangenen Daten oder des Komplemerits 



der empfangenen Daten. 

. [0008] Ein Prozessor gemaB der vorliegenden Erfindung 
kann ferner ein drittes Rechenwerk und ein viertes Rechen- 
werk umf assen, wobei das dritte' Rechenwerk und das vierte 
5 Rechenwerk durch die Steuereinrichtung derart ansteuerbar 
. sind, daB sie wahlweise in einer komplementare Daten Yer- 
arbeitenden Hochsicherheitsbetriebsart oder in einer unab- 
hangige Daten verarbeitenden Parallelbetriebsart. arbeiten. 
In einer anstelle der Hochsicherheitsbetriebsart oder zusatz- 
10 lich zu ihr vorgesehenen Leistungssparbetriebsart ist das 
: dritte und/oder das vierte Rechenwerk abgeschaltet. 
[0009] Das erste Rechenwerk und das zweite Rechenwerk 
• sind vorzugsweise derart ausgestaltet, daB sie in der Hochsi- 
cherheitsbetriebsart zeitsynchron die gleichen Befehle ver- 
15 arbeiten konnen. Das erste Rechenwerk und das zweite Re- 
" chenwerk sind vorzugsweise raumlich benachbart arigeord- 
net Der. Prozessor kann beispielsweise ein Kryptographie- 
prozessor seiri. 

[0010] Ein weiterer Prozessor gemaB der vorliegenden Er- 

20 findung umfaBt ein erstes Rechenwerk, ein zweites Rechen- 
werk, eine Datenquelle, welche mit dem ersten Rechenwerk 
und dem zweiten Rechenwerk derart. verhunden ist, daB syn- 

, chron dem ersten Rechenwerk Daten und dem zweiten Re- 
' chenwerk das Komplement der Daten zugefiihrt werden, 

25 und eine Befehlsquelle, welche ein Paar von Befehlen auf- 
weist, wobei einer der Befehle des Befehlspaares fiir das er- 
ste Rechenwerk vorgesehen ist und wobei der andere Befehl 
des Befehlspaares fur das zweite Rechenwerk vorgesehen 
ist, und wobei die Befehlsquelle rait dem ersten Rechenwerk 

30 uhd dem zweiten Rechenwerk derart verbunden ist, dafi syn- 
chron der fiir das erste Rechenwerk vorgesehene Befehl des 
. Befehlspaares dem ersten Rechenwerk und der fiir das 
zweite Rechenwerk vorgesehene Befehl des Befehlspaares 
dem.zweiten.Reehenwerk zugefiihrt werden konnen. 

35 [0011] Der fur das erste Rechenwerk vorgesehene Befehl 
und der fur das zweite Rechenwerk vorgesehene Befehl 
t '•■ konnen gleich sein-,' wenn der Prozessor in einer Dviai-JUik 
Betriebsart .oder einer Sicherheitsbetriebsart arbeiten soil, 
sie.-konnen.vorieinander verschieden sein, wenn der Prozes- 

-40 sorin einer Hochleistungsbetriebsart. arbeiten soil, und einer 
der beiden Befehle kann das Rechenwerk, fiir das ef vorge- 
sehen ist, suTLegen, wenn der Prozessor in einer Leistungs- 
sparbetriebsart arbeiten soil. , 
[0012] Eine weitere Aufgabe der vorliegenden Erfindung 

45 besteht darin, eine Chipkarte mit erhohter" Sicherheit und ei- 
ner verbesserten Rechenleistung. und/oder einem verfinger- 
ten Leistungsbedarf zu schaffen. 

. . [0013] Diese Aufgabe wird durch. eine Chipkarte gemaB 
Anspruch 13 gelost. 

50 [0014] Eine Chipkarte gemaB der vorliegenden Erfindung 
umfaBt einen der oben beschriebenen Prozessoren. 
[0015] Der vorliegenden Erfindung liegt die Erkenntnis 
zugrunde, daB eine Dual-Rail-Logik durch eine Anordnung 
mehrerer Prozessorteihuodule realisiert werden kann, die in 

55 verschiederien Betriebsarten beirieben werden konnen. Vor- 
teilhaft enthalt ein solcher Mikroprozessor zwei oder eine 
andere gcradc Anzahl von CPU-Tcilmodulcn, die zumindest 
paarweise identisch aufgebaut sind. Bei zwei CPU-Teilen 
kann zwischen vier verschiedenen Betriebszustafiden ge- 

60 wahlt und im Betrieb umgeschaltet werden: 

1. Hochsicherheitsbetriebsart: Einer der beiden CPU- 
Teile bzw. eines der beiden Rechenwerke arbeitet wie . 
ein herkommlicher Standardprozessor. per zweite Teil 
65 jedoch wird mit den komplementaren Daten versorgt 
und bearbeitet diese zeitsynchron mit exakt den glei- 
chen Befehlen und der gleichen Ansteuerung, wobei 
die Rechenwerke im Preeharge-Betrieb arbeiten. Da- 
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mit wirken die beiden Prozessprteile zusammen wie 
cin cinzigcr Prozcssor mit Dual-Rail-Logik, sic bcfin- 
den sich in der Hochsicherheitsbetriebsart. Vorteilhaft 
sind die komplementar rechnenden Elemente raumlich 
nebeneinander angeordnet und vorzugsweise sind sie 5 
ferner verwoben angeordnet, wodurch eine solche An- 
ordnung auch gegen elektromagnetische Abstrahlungs- 
analysen gesi chert, werden kann. Im Sinne dieser An- 
meldung ist ein Prozessor mit komplementar rech- 
nende Rechenwerke ein Prozessor mit einer von verar- 10 
.■ beiteten Daten unabhangigen Stromaufhahme. 

2. Hochleistungsbelriebsart: Fiir Prograimne oder Pro- 
grammteile, bei denen eine starke Sicherung gegen 
S eitenkanalangriff e nicht erf orderlich ist, ist die Hoch- 
leistungsbetriebsart vorgesehen. In dieser Betriebsart 15 
werden die CPU-Teile bzw. Rechenwerke mit parallel 
abzuarbeitenden bzw. unterschiedlichen Programmtei- 
len versorgt. So entsteht eine Anordnung von zwei 
CPUs bzw. Prozessoren, wodurch sich der Datendurch- 
satz verdoppeln kann. 20 

3. Leistungssparbetriebsart: In der Leistungssparbe- 
triebsart wird eines oder mehrere Rechenwerke deakti- 
viert, so daB nur noch ein Rechenwerk oder ein Teil der 
Rechenwerke arbeitet.. Durch die kleinere Anzahl von 
schaltenden Gattern ist die Leistungsaufnahme redu- 25 

^ziert. Der Prozessor arbeiiet in dieser Betriebsart weder 
im Bereich der hochsten Sicherheitsstufe hoch im Be- 
reich der hochsten Leistung. 

4. Sicherheitsbetriebsart: Eine Sicherheitsbetriebsart 
ist eine Betriebsart, bei der zwei Rechenwerke die glei- 30 
chen Daten verarbeiten und durch Vergleich der Ergeb- 
nisse dieser Verarbeitung die Betriebssicherheit erhoht 
wird, was beispielsweise einen Schutz gegen DFA (dif- 
ferential fault, attack) bietet. 

35 

[0016] Ein Vorteil des erfindungsgemaRen Prozessors be- 
steht darin, daB er die none Sicherheit einer Dual-Rail-Logik 
fur sicherheitsrelevante Programme bzw. Programmteile 
und eine hohe Rechen leistung oder einen geringeren Lei- 
stungsbedarf fur eine Verarbeitung weniger sicherheitsrele- 40 
. vanter Programmteile bietet, wobei zwischen verschiedenen 
Betriebsarten dynamisch auch wahrend des Betriebes ge- 
schaltet werden kann. 

[0017] Wenn in der vorliegenden Anmeldung von zwei 
Rechen werken die Rede ist, konnen jeweils n ■ 2 Rechen- 45 
werke zum Einsatz kommen, wobei n eine natiirliche Zahl 
ist, 

[0018] Ein bevorzugtes Ausfuhrungsbeispiel der vorlie- 
genden Erfindung wird nachfolgend Bezug nehmend auf die 
beiliegenden Zeichnungen naher erlautert. Es zeigen: 50 
[0019] Fig. 1 eine schematische Darstellung eines Aus- 
fuhrungsbeispiels der vorliegenden Erfindung; 
[0020] Fig. 2 eine schematische Darstellung einer Hochsi- 
cherheilsbelriebsart des Ausfuhrungsbeispiels aus Fig. 1; 
[0021] Fig. 3 eine schematische Darstellung einer Hoch- 55 
leistungsbetriebsart des Ausfuhrungsbeispiels aus Fig. 1 ; 
[0022] Fig. 4 cine schematische Darstellung etner Lei- 
stungssparbetriebsart des Ausfuhrungsbeispiels aus Fig. 1; 
und 

[0023] Fig. 5 eine schematische Darstellung einer Sicher- 60 
heitsbetriebsart des Ausfuhrungsbeispiels aus Fig. 1. 
[0024] Fig. 1 ist eine schematische Darstellung des fur die 
vorliegende Erfindung relevanten Teils eines Prozessors ge- 
maB einem Ausfuhrungsbeispiel der vorliegenden Erfin- 
dung. Der Prozessor weist ein erstes Rechenwerk 2, ein 65 
zweites Rechenwerk 4, eine Steuereinrichtung 6 und eine 
Komplementierungseinrichtung 8 auf. Im Fall von zwei par- 
allelen Datenleitungen kann die Komplementierungsein- 



richtung 8 durch einen Inverter gebildet.sein. Die Steuerein- 
richtung 6 ist mit dem crsten Rechenwerk 2 ubcr cine Stcu- 
erleitung 12 und mit dem zweiten Rechenwerk 4 fiber eine 
Steuerleitung 14 wirksarn verbunden. Das erste Rechenwerk 
2. weist einen Befehlseingang 16, der iiber eine Leitung 18 
mit einer nicht dargestellten Befehlsquelle, beispielsweise 
einem Programmspeicher in Form eines ROMs (ROM = 
Read Only Memory = Nur-Lese-Speicher), eines RAMs 
(RAM = Random Access Memory = Speicher mit wahl- 
freiem Zugriff) oder einer Festplatte, verbunden ist, sowie 
einen Dateneingang 20, der iiber eine Datenleitung 22 mit 
einer nichl dargestellten Datenquelle, beispielsweise einem 
Datenspeicher oder einer Schnittstelle verbunden ist, auf. 
Das zweite Rechenwerk 4 weist einen Befehlseingang 24, 
der iiber eine Befehlsleitung 26 mit der nicht dargestellten 
Befehlsquelle, mit der das erste Rechenwerk iiber die Be- 
fehlsleitung 18 verbunden ist, oder mit einer anderen Be- 
fehlsquelle verbunden ist, und einen Dateneingang 28, der 
iiber eine Datenleitung 30 mit einem Ausgang 32 der Kom- 
plementierungseinrichtung 8 verbunden ist, auf. Die Kom- 
plementierungseinrichtung 8 weist ferner einen Eingang 34 
auf, der iiber eine Datenleitung 36 mit der Datenquelle, mit 
der das erste Rechenwerk 2 iiber die Datenleitung 22 ver- 
bunden ist, oder einer anderen Datenquelle verbunden ist. 
Die Steuereinrichtung 6 und die Komplementierungsein- 
richtung 8 sind iiber eine Steuerleitung 38 wirksarn verbun- 
den. 

[0025] Das erste Rechenwerk 2 bzw. das zweite Rechen- 
werk 4 verarbeitet gesteuert durch Befehle, die ihm an dem 
Befehlseingang 16 bzw. 24 zugeleitet werden, Daten, die 
ihm am Dateneingang 20 bzw. 28 zugeleitet werden. Die 
Komplementierungseinrichtung 8 ist steuerbar bzw. schalt- 
bar, d. h. sie gibt an ihrem Ausgang 32 wahlweise Daten 
aus, die sie am Eingang 34 empfangen hat (Komplementie- 
rungseinrichtung ausgeschaltet) oder deren Komplement 
(Komplementierungseinrichtung eingeschaltet). Diese bei- 
den Zustande der Komplementierungseinrichtung 8 werden 
durch die Steuereinrichtung 6 iiber die Steuerleitung 38 ge- 
steuert bzw. geschaltet. Die Steuereinrichtung 6 steuert fer- 
ner das erste Rechenwerk 2 und das zweite Rechenwerk 4 
urn mehrere verschiedene Betriebsmodi bzw. Betriebsarten 
einzustellen, die nachfolgend anhand der Fig. 2 bis 4 naher 
beschrieben werden. 

[0026] Fig. 2 ist eine schematische Darstellung einer 
Hochsicherheitsbetriebsart des Ausfuhrungsbeispiels aus 
Fig. 1. In dieser Betriebsart empfangen das erste Rechen- 
werk 2 und das zweite Rechenwerk 4 an dem Befehlsein- 
gang 16 bzw. 24 dieselben Befehle zur Verarbeitung von 
Daten. Ferner werden dem ersten Rechenwerk 1 am Daten- 
eingang 20 und der Komplementierungseinrichtung 8 am 
Eingang 34 dieselben Daten zugeleitet. Die Komplementie- 
rungseinrichtung 8 ist eingeschaltet, d. h. sie gibt am Aus- 
gang 32 das Komplement der Daten aus, die sie am Eingang 
34 empfangt. Das zweite Rechenwerk 4 empfangt soinit an 
seinem Dateneingang 28 das Komplement der Daten, die 
das erste Rechenwerk 2 an seinem Dateneingang 20 emp- 
fangt. In dieser Hochsicherheitsbetriebsart cntspricht die 
Funktion des Prozessors gemaB dem vorliegenden Ausfuh- 
rungsbeispiel sornit der Dual-Rail-Logik, d. h. die vorzugs- 
weise baugleichen Rechenwerke 2 und 4 verarbeiten gesteu- 
ert durch dieselben Befehle synchron komplementare Da- 
ten. In dieser Hochsicherheitsbetriebsart ist ein Seitenkanal- 
angriff iiber eine Messung der Leistungsaufnahme des Pro- 
zessors stark erschwert. oder gar unmoglich, da die Lei- 
stungsaufnahme des ersten Rechenwerks und des zweiten 
Rechenwerks zusammen aufgrund der Verarbeitung kom- 
plementarer Daten nicht von den Daten abhangig ist. Wenn 
das erste Rechenwerk 2 und das zweite Rechenwerk 4 in 
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raumlicherNahe zueinander oder ineinander verwoben an- 
gcordnct werden, wird fcrncr cin Scitchkanalangriff ubcr 
eine Analyse der elektromagnetischen Abstrahlung des Pro- 
zessors wesentlich erschwert, da aufgrund der Verarbeitung 
komplementarer Daten imrrier in unmittelbarer Nahe zuein- 
ander Strome bzw. Spannungen auftreten, welche einem di- 
gitalen Wert und seinem Komplement entsprechen. 
[0027] Fig. 3 zeigf. eine Hochleistungsbetriebsart des er- 
sten Rechenwerks 2 und des zweiten Rechenwerks 4. In die- 
ser Betriebsart werden dem ersten Rechenwerk 2 und dem 
zweiten Rechenwerk 4 an ihren Dateneingangen 20 und 28 
verschiedene Daten und an ihren Befehlseingangen 16 und 
24 verschiedene Befehle zugeftthrt. Durch die parallele bzw. 
gleichzeitige Verarbeitung verschiedener oder gleicher Da- 
ten mit. verschiedenen oder gleichen Befehlen bzw. Pro- 
grammen oder Programmteilen verdoppelt sich die Rechen- 
leistung des Prozessors gemaB dem vorliegenden Ausfuh- 
rungsbeispiel. Der Prozessor kann somitin der gleichen Zeit 
und rnit der gleichen Leistungsaufhahme wie in der Hochsi- 
cherheitsbetriebsart, gesteuert durch die doppelte Anzahl 
von Befehlen, die doppelte Anzahl von Daten verarbeiten. 
Gleichzeitig -bietet diese-Betriebsart aber .nicht den besonde- 
ren vSchutz gegen Seitenkanalangrifle, den die anhand der 
Fig. 2 erlauterte Hochsicherheitsbetriebsart bietet. Sie bietet 
jedoeh den Vorteil der Verschleierung der Stromprofile so- 
wie der eleklromagnetischen Abstrahlung durch parallele 
Verarbeitung verschiedener Daten. 

[0028] Fig. 4 ist eine schematische Darstellung einer Lei- 
. stungssparbetriebsart. In dieser Betriebsart ist eines der bei- 
'den Rechenwerke, hier das zweite Rechenwerk 4, abge- 
schaltet bzw. es wird nicht mit Leistung yersorgt. Das an- 
dere Rechenwerk, hier das erste Rechenwerk 2, empfangt 
Daten und Befehle, welche es verarbeitet. In dieser Be- 
triebsart sind die Leistungsaumahme und die Rechenlei- 
stung der beiden Rechenwerke gegeniiber der anhand Fig. 3 
erlauterten Hochleistungsbetriebsart halbiert. Wie die Hoch- 
leistungsbetriebsart bietet auch die Leistungssparbetriebsart. 
nicht die besondere Sicherheit gegentiber Seitenkanalarigrif- 
fen, welche die anhand der Fig. 2 erlauterte Hochsicher- 
heiLsbetriebs art bietet. . 

[0029] Fig. 5 ist eine schematische Darstellung einer Si- 
cherheitsbetriebsart des Ausfuhrungsbeispieies aus Fig. 1. 
In dieser Betriebsart empfangen das erste Rechenwerk 2 und 
das zweite Rechenwerk 4 an dem Befehlseingang 16 bzw. 
24 dieselben Befehle zur Verarbeitung von Daten. Femer 
werden dem ersten Rechenwerk 1 am Dateneingang 20 und 
der Komplementierungseinrichtung 8 am Eingang 34 diesel- 
ben Daten zugeleitet; Die Komplementierungseinrichtung 8 
ist ausgeschaltet, d.h. sie gibt am Ausgang 32' die Daten aus, 
die sie am Eingang 34 empfangt. Das zweite Rechenwerk 4 
empfangt somit an seinem Dateneingang 28 die gleichen 
Daten, die das erste Rechenwerk 2 an seinem Dateneingang 
20 empfangt. In dieser .Sicherheitsbetriebsart verarbeiten 
das erste Rechenwerk 2 und das zweite Rechenwerk 4 ge- 
steuert durch dieselben Befehle synchron die gleichen Da- 
ten. Die durch beide Rechenwerke ausgegebenen Ergeb- . 
nissc werden cincr in Fig. 1 nicht dargcstclltcn Vcrglcichs- 
einrichturig zugefuhrt, welche die Ausgabe des ersten Re- 
chenwerkes 2 und die Ausgabe des zweiten Rechenwerkes 4 
auf Uberemsdmmung iiberpruft und aphangig davon ein Si- 
gnal ausgibt, welches verwendet werden 'kann, um beispiels- 
weise eine Wiederholung der Verarbeitung der Eingangs4a* 
ten, eine Verwendung von Defaultdaten bzw. vqreingestell- 
ten Daten anstelle der ausgegebenen Ergebnisse, eine Plau- 
sibilitatsuberprufung der beiden ausgegebenen Ergebnisse, 
eine vonibergehende Uriterbrechung .oder einen vollstandi- 
gen Abbruch der Datenverarbeitung durch die Rechenwerke 
oder eine andere voreingestellte Reaktion zu steuern bzw. 



auszulosen. Dadurch bietet die Sicherheitsbetriebsart einen 
Schutz gegen cincn DFA. 

[0030] Entsprechend kann auch bei der oben anhand der. 
Fig. 2 dargestellten Hochsicherheitsbetriebsart eine Uber- 
• 5 prufung der durch das erste Rechenwerk 2 und das zweite 
Rechenwerk 4 ausgegebenen Ergebnisse auf Komplement- 
aritat durchgefuhrt werden. 

[0031] Die anhand der Fig. 2 bis 5 erlauterten Betriebsar- 
ten eignen sich fur Verschiedene Aufgaben j welche ein Pro- 
io , zessor, beispielsweise ein Prozess9r in einer Chipkarte oder 
ein anderer Kryptoprozessor oft abwechselnd oder nachein- 
ander erfullen muB. Bei der Abarbeilung von .Prograimnen 
oder Programmteilen zur Authentication, zur Verschlusse- 
lung oder zum Zugriffsschutz ist eine maximale Sicherheit 
15 gegeniiber Angriffen Uribefugter, beispielsweise gegeniiber 
Seitehkanalangriffen, erfo'rderlich. Der Urnfang. dieser ex- 
trem sicherheitsrelevanten Aufgaben ist dabei oft .ver- 
. gleichsweise gering. Sie werden in der Hochsicherheitsbe- 
triebsart ausgefuhrt, welche eine maximale Sicherheit und" 
20 eine rnittlere Leistung bietet. .... 

[0032J Den groBten Umfahg haben bei yielen Anwendun- 
gen Operationen bzw.. Aufgaben des Prozessors, die gerin- 
. gere oder gar keine Anforderungen an die Sicherheit gegen- 
■ iiber Angriffen stellen, deren Abarbeitung in moglichst kur- 
25 zer Zeit je'doch erwunscht ist, beispielsweise um einem An- 
wender einen hoheh Komfort zu bieten und ihm Wartezeilen 
zu ersparen. Diese Operationen kqnnen in der Hochlei- 
stungsbetriebsart ausgefuhrt- werden, die einen geringeren 
Grad an Sicherheit gegenyber Angriffen, aber eine dm Ver- 
30 gleich zur Hochsicherheitsbetriebsart verdoppelte Rechen- 
leistung bietet. , " 

■*. ,[0033] ■ Femer treten'bei.zahlreichen Anwendungen Auf- 
gaben auf, bei denen nur eine geringe oder fast verschwih- 
dende Rechenleistung erforderlich ist, weil beispielsweise 
35 im Programmablauf auf eine Eingabe eines. Anwender's oder . 
eine Information, die von einer anderen Einrichtung ange- 
fordert wurde, gewartet wird. Diese Aufgaben korinen in der 
Leistungssparbetriebsart ausgefuhrt werden, welche die ge- 
ringe Rechenleistung der Hochsicherheitsbetriebsart mit der 
40 geringen Sicherheit der Hochleistungsbelriebsart kombi- 
niert, dabei aber den Leistungsbedarf der Rechenwerke hal- 
biert. : - ' ... 
[0034] Ein Vorteil eines Prozessors gemaB der vorliegen- 
den Erfindung besteht darin, daB durch eine Realisierung 
45 von zwei oder drei der oben beschriebenen Betriebsarten, 
insbesondere der Hochsicherheitsbetriebsart zusammen mit 
der Hochleistungsbetriebsart und/oder der Leistungssparbe- 
triebsart, eine flexible Anpassung von Sicherheitsstandard, 
Rechenleistung und Leistungsbedarf moglich. ist, wo bei 
50 zwischen den : Betriebsarten dynamisch bzw. wahrend des 
Betriebs umgeschaltet bzw.- . gewechselt werden kann. So 
kann.beispielsweise in der Hochleistungsbetriebsart ein An- 
wender aufgefordert werden, eine PIN einzugeben, in der 
LeisLungssparbetriebsart auf eine Eingabe der PIN gewartet 
55 .werden und diese anschlieBend in der Hochsicherheitsbe- 
triebsart krypfographisch verarbeitet werden. 
[0035] Zur Realisierung cincs Prozessors, der gcmaB der 
. vorliegenden Erfindung zwei, drei oder vier der anhand der 
Fig. 2"bis : 5 erlauterten Betriebsarten aufweist, ist . die in Fig. 
60 1 schematisch dargestelite Schaltung aus dem ersten Re- 
chenwerk 2, dem zweiten Rechenwerk 4, der Steuereinrich- 
tung 6 und der Komplementierungseinrichtung 8 nur ein 
Beispiel. Alternativ zu. der Darstellung in Fig. 1 kann bei- 
spielsweise die Komplementierungseinrichtung 8 ein Be- 
65 standteil des. zweiten Rechenwerks 4 und dessen Datenein- 
gang 28 nachgeschaltet sein und/oder es kann eine weitere 
. Komplementierungseinrichtung in der Datenleitung 22 des 
x ersten Rechenwerks oder im ersten Rechenwerk 2 yorgese- 
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hen sein. Abhangig von der Architektur bzw. der verwende- 
tcn Schaltung der Rcchcnwcrkc 2 und 4 kann fcrncr untcr 
TJmstanden auf eine Komplementierungseinrichtung ver- 
zichtet werden, weil beispielsweise zurn Komplementieren 
lediglich zwei Leitungen gekreuzt werden miissen. 5 
[0036] Die Steuereinrichtung 6 kann das erste Rechen- 
werk 2 und das zweite Rechenwerk 4 durch die Steuerleitun- 
gen 12 und 14 anschalten bzw. aktivieren und (in der T^i- 
stungssparbetriebsart) ausschalten bzw. stillegen, sie kann 
dies alternativ aber auch tiber einen Zugriff auf die Lei- io 
stungsversorgurig der beiden Rechenwerke tun. 
[0037] Eine Zufuhrung derselben Daten iiber die DaLenlei- 
tung 22 an den Dateneingang 20 des ersten Rechenwerks 2 
und iiber die Datenleitung 36 an den Eingang 34 der Kom- 
plementierungseinrichtung 8 ist auf verschiedene Weisen 15 
moglich. Beispielsweise konnen durch eine in Fig. 1 nicht 
dargestellte "Datenweiche", die mit den Datenleitungen 22 
und 36 verbunden ist, Daten von einer Datenquelle synchron 
zurn Dateneingang 20 des ersten Rechenwerks 2 und zum 
Eingang 34 in der Komplementierungseinrichtung 8 geieitet 20 
werden. 

[0038] A 1 tern ati v kann ei ne Daten wei che i n die S teuerei n- 
richtung 6 integriert seiri. Dann ist abweichend von der Dar- 
stellung in Fig. 1 die Steuereinrichtung 6 mit einer Daten- 
quelle verbunden, wobei der Dateneingang 20 des ersten 25 
Rechenwerks 2 iiber eine Datenleitung mil der Steuerein- 
richtung 6 verbunden ist, und wobei der Eingang 34 der 
Komplementierungseinrichtung 8 iiber eine Datenleitung 
mit der Steuereinrichtung 6 verbunden ist. Die Steuerein- 
richtung 6 kann dann je nach der erwunschten Betriebsart 30 
dieselben Daten synchron zu dem ersten Rechenwerk 2 und 
iiber die komplementierende oder nicht komplementierende 
Komplementierungseinrichtung 8 zu dem zweiten Rechen- 
werk 4 leiten oder verschiedene Daten an das erste Rechen- 
werk 2 und Liber die nicht komplementierende Komplement- 35 
ierungseinrichr.ung 8 an das zweite Rechenwerk 4 leiten 
oder nur Daten an das erste Rechenwerk 2 leiten. 
[0039] Auch beim Leiten von Befehlen iiber die Befehls- 
leitungen 18 und 26 an den Befehlseingang 16 des ersten 
Rechenwerks 2 bzw. den Befehlseingang 24 des zweiten Re- 40 
chenwerks 4 existieren verschiedene Moglichkeiten. Der 
Befehlseingang 16 des ersten Rechenwerks 2 und der Be- 
fehlseingang 24 des zweiten Rechenwerks 4 konnen iiber 
die Befehlsleitungen 18 bzw. 26 direkt mit ein und derselben 
oder mit zwei verschiedenen Befehlsquellen verbunden 45 
sein, wie es oben in Zusammenhang mit Fig. 1 erlautert 
wurde. Alternativ kann eine Befehlsquelle mit der Steuer- 
einrichtung 6 verbunden sein, welche iiber eine Befehlslei- 
tung mit dem Befehlseingang 16 des ersten Rechenwerks 
und iiber eine Befehlsleitung mit. dem Befehlseingang 24 50 
des zweiten Rechenwerks verbunden ist. Die Steuereinrich- 
tung 6 leitet dann je nach der erwunschten Betriebsart syn- 
chron dieselben Befehle oder verschiedene Befehle an den 
Befehlseingang 16 des ersten Rechenwerks 2 und den Be- 
fehlseingang 24 des zweiten Rechenwerks 4 oder aber nur 55 
an eines der beiden Rechenwerke 2 und 4. 
[0040] Die Steuereinrichtung 6 zum Anstcucrn der beiden 
Rechenwerke 2 und 4 kann also auf verschiedene Weise aus- 
gefuhrt und mit dem ersten Rechenwerk 2, dem zweiten Re- 
chenwerk 4 und der Komplementierungseinrichtung 8 wirk- 60 
sam verbunden sein, damit in Abhangigkeit von der er- 
wunschten Betriebsart das erste Rechenwerk 2 und das 
zweite Rechenwerk 4 synchron dieselben oder verschiedene v 
Daten und Befehle verarbeiten konnen oder damit eines der 
beiden Rechenwerke 2 und 4 stillgelegt werden kann. 65 
[0041] Ferner ist eine Software-Realisierung der oben an- 
hand der Fig. 2 bis 4 erlauterten Betriebsarten und des 
Wechsels zwischen denselben moglich. In diesemFall weist 



der Prozessor ein erstes Rechenwerk 2 und ein zweites Re- 
chenwerk 4 auf, und die Steuereinrichtung ist durch Befehle 
realisiert, welche durch den Prozessor bzw. die Rechen- 
werke ausfuhrbar sind. Der Befehlseingang 16 des ersten 
Rechenwerks 2 und der Befehlseingang 24 des zweiten Re- 
chenwerks 4 sind mit einer Befehlsquelle bzw. einem Pro- 
grammspeicher, beispielsweise einem ROM (ROM = read 
only memory = Nur-Lese-Speicher), verbunden. Das erste 
Rechenwerk 2 und das zweite Rechenwerk 4 weisen jeweils 
einen oder mehrere Dateneingange 20 bzw. 28 auf, wobei 
alle Datenquellen, welche Daten liefern, die in der Hochsi- 
cherheitsbelriebsart verarbeitet werden sollen, beispiels- 
weise eine Anwenderschnittstelle, iiber die von einem An- 
wender eine PIN eingegeben wird, parallel so mit einem Da- 
teneingang 20 des ersten Rechenwerks und einem Datenein- 
gang 28 des zweiten Rechenwerks verbunden sind, daB dem 
ersten Rechenwerk 2 die Daten der Datenquelle und syn- 
chron dazu dem zweiten Rechenwerk 4 das Komplement 
der Daten der Datenquelle zugeleitet werden. 
[0042] Dies kann, wie es bereits oben anhand des in Fig. 1 
dargestellten Ausfiihrungsbeispiels erlautert wurde, bei- 
spielsweise durch eine Komplementierungseinrichtung in 
der Datenleitung zwischen der Datenquelle und dem Daten- 
eingang des zweiten Rechenwerks oder aber, je nach der 
verwendeten Architektur der Rechenwerke, auch durch ein- 
faches Kreuzen von Datenleitungen erfolgen. Die Befehls- 
quelle enthalt Paare von Befehlen, wobei jeweils einer der 
Befehle fur das erste Rechenwerk vorgesehen ist und diesem 
iiber einem Befehlseingang 16 zugefuhrt wird, und wobei 
der jeweils andere Befehl des Paars fur das zweite Rechen- 
werk 4 vorgesehen ist, und diesem synchron iiber den Be- 
fehlseingang 24 zugefuhrt wird. 

[0043] Programmteile, die fur die oben anhand der Fig. 2 
erlauterten Hochsicherheitsbetriebsart vorgesehen sind, 
weisen Paare von Befehlen auf, welche jeweils zwei identi- 
sche Befehle umfassen. Programmteile, welche fur eine Ver- 
arbeitung in der oben anhand der in Fig. 3 erlauterten Hoch^ 
leistungsbetriebsart vorgesehen sind, weisen Befehlspaare 
auf, welche zwei gleichzeitig von dem ersten Rechenwerk 2 
bzw ? dem zweiten Rechenwerk 4 zu verarbeitende Befehle 
umfassen. Programmteile, welche fur eine Verarbeitung in 
der oben anhand der Fig. 4 erlauterten Leistungssparbe- 
triebsart vorgesehen sind, weisen Befehlspaare auf, welche 
fur eines der Rechenwerke 2 und 4 einen auszufuhrenden 
Befehl und fur das jeweils andere Rechenwerk einen nicht 
zu verarbeitenden Befehl oder einen Deaktivierungs- bzw. 
Abschaltbefehl aufweisen. 

[0044] Bei Programmteilen, welche in der Hochsicher- 
heitsbetriebsart ablaufen, verarbeiten somit das erste Re- 
chenwerk 2 und das zweite Rechenwerk 4 gesteuert durch 
identische Befehle synchron komplementare Daten von der 
gleichen Datenquelle. Bei Programmteilen, welche in der 
Hochleistungsbetriebsart ablaufen, verarbeiten das erste Re- 
chenwerk 2 und das zweite Rechenwerk 4 gesteuert durch 
im allgemeinen voneinander verschiedene Befehle verschie- 
dene Daten von ein und derselben oder verschiedenen Da- 
tenquellen. Bei Programmteilen, welche fur cine Bcarbci- 
tung in der Leistungssparbetriebsart vorgesehen sind, bear- 
beitet eines der beiden Rechenwerke gesteuert durch Be- 
fehle Daten und das andere Rechenwerk ist stillgelegt bzw, 
abgeschaltet. Im Fall von drei oder rnehr Rechenwerken ist 
eine Kombination der Betriebsmodi moglich. 
[0045] Die. oben dargestellten Ausfuhrungsbeispiele sind 
ohne weiteres auf Prozessoren mit rnehr als zwei Rechen- 
werken, vorzugsweise rnit einer geraden Anzahl von paar- 
weise baugleichen Rechenwerken erweiterbar. In diesem 
Fall konnen alle Paare von Rechenwerken in derselben Be- 
triebsart oder aber in verschiedenen Betriebsarten arbeiten. 
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In der Leistungssparbetriebsart kdnneri alle Rechenwerke 
bis auf cincs abgcschaltct scin. Im Fall Von drci odcr mchr 
Rechenwerken ist eine Kombination der Betriebsarten mog- 
lieh. 

[0046] Die vorliegende Erfindung eignet sich fur alle Pro- 
zessoren, welche fiir kryptographische Anwendungen oder 
Sicherheitsanwendungen verweridet werden konnen und vor 
Seitenkanalangriffen geschutzt werden sollen, beispiels- 
weise fur Prozessoren m Chipkartejou . 

Bezugszeicbenliste 

2 erstes Rechenwerk 
4 zweites Rechenwerk 

6 Steuereinrichtung v ■ 15 

8, InVertiereinrichtung 
12 SteUerleitung 
14 Steuerleitung 
16 Befehlseingang 

18Befehlsleitung 20 
20 Dateneingang . 
• 22 Datenleitung . 
24 Befehlseingang 

26 Befehlsleitung • ■ % 

28 Dateneingang ' . . 25 

3Q Datenleitung. 

31 Ausgang der Invertiereinricbtiang 
34 Eingang der Inverdereinrichtung 
.36 Datenleitung . 

38 Steuerleitung 30 
Patentanspriiche 
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1, Prozessor mit folgenden Merkmalen: 
einem ersten Rechenwerk (2); 
einem zweiten Rechenwerk (4); und . 
einer Steuereinrichtung (6) zuni Ansteuern der beiden 
Rechenwerke (2) und (4) derart, daB diese wahlweise 
in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsarL oder in einer unabhangige Daten 40 
verarbeitenden Parailelbetriebsart arbeiten. .... 
2^ Prozessor mit folgenden Merkmalen: 
einem ersten Rechenwerk (2); '< 
einem zweiten Rechenwerk (4); und • 
einer Steuereinrichtung (6) zum Ansteuern der beiden 45 
Rechenwerke (2) und (4) derart, daB; diese wahlweise 
in einer komplementare Daten verarbeitenden Hoch.si- 
cherheitsbetriebsart arbeiten oder sich in einer Lei- 
stungssparbetriebsart befinden, in der eines der Re- : 
chenwerke (2, 4) abgeschal Itet ist. . 50 

3. Prozessor mit folgenden Merkmalen: 
einem ersten Rechenwerk (2); 

. einem zweiten Rechenwerk (4); und 
einer Steuereinrichtung (6) zum Ansteuern der beiden 
Rechenwerke (2\ und (4) derart, dai3 diese wahlweise 55 
in einer komplementare Daten verarbeitenden Ilocjisi- 
chcrhcitsbctricbsart odcr in einer gleiche Daten verar- 
beitenden Sicherheitsbetriebsart arbeiten. 

4. Prozessor gem^B einem der Anspriiehe 1 bis 3, fer- 
ner mit einer schaltbaren Komplementierungseinrich- 
tung (8), mit einem Ausgang (32), der mit einem Ein- 
gang (28) des zweiten 'Rechenwerks (4) verbunden ist, 
zum Empf angen von Daten und zum wahlweisen Aus- 
geben der empfangenen Daten Oder des Komplernents 
der empf angetien Daten. 

.5. Prozessor geiriaB einem der Anspriiehe 1 bis 4, fer- 
nerxnit folgenden Merkmalen: 
einem dritten Rechenwerk; und 
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einem vierten Rechenwerk; . 

wobei das drittc Rechenwerk und das vicrtc. Rechen- 
werk durch die Steuereinrichtung (6) derart ansteuerbar 
sind, daB sie wahlweise in einer komplementare Daten 
verarbeitenden Hochsicherheitsbetriebsart oder in ei- 
ner unabhangige Daten verarbeitenden Parailelbe- 
triebsart arbeiten. 

6. Prozessor gemaB einem der Anspriiehe 1 bis 4, fer- 
' ner mit folgenden Merkmalen: 

einem dritten Rechenwerk; und 
einem vierten Rechenwerk; 

wobei das dritte Rechenwerk und das vierte Rechen- 
werk durch die Steuereinrichtung' (6) derart ansteuerbar 
sind, daB sie wahlweise in einer komplementare Daten 
verarbeitenden Hochsicherheitsbetriebsart arbeiten 
oder sich in einer Leistungssparbetriebsart befinden, in - 
der das. dritte und/oder das vierte Rechenwerk abge- 
schaltet ist. 

7. Prozessor gemaB einem der Anspriiehe 1 bis 4, fer- 
rier mit folgenden Merkmalen: 

. einem dritten Rechenwerk; und 
einem vierten Rechenwerk; . 

wobei das dritte Rechenwerk und das vierte Rechen- 
werk durch die .Steuereinrichtung (6) derart ansteuerbar 
sind, daB sie wahlweise in einer komplementare Daten 
verarbeitenden HochsicherheitsbetriebsarL oder in ei- ■ 
• ner gleiche Daten verarbeitenden Sicherheitsbetriebs- 
art arbeiten. 

8. Prozessor. gemaB einem der Anspriiehe 1 bis 7, bei 
dem das erste Rechenwerk (2) und das zweite Rechen- 
werk (4) derart ausgestaltet sind, daB sie in der Hochsi- 
eherheitsbetrieb sart zeits yrichron 1 die gleichen Bef ehie 
ver arbeiten konnen. \ \ . ' 

9. Prozessor gemaB einem der Anspriiehe. 1 bis 8, .bei 
clem das erste Rechenwerk (2) und das zweite Rechen- 
werk (4) raurhlich benachhart. oder ineinander verwo- 
ben angeordnet sind. 

. -' 10. Prozessor gemaB einem der Anspriiehe 1 bis 9, bei 
dem der' Prozessor ein Kryptographie- oder Sicher- 
heilsprozessor ist. 

. 11. Prozessor mit folgenden Merkmalen: 
einem ersten Rechenwerk (2); 
einem zweiten Rechenwerk (4); 

. einer Datenqiielle, welche mit dem ersten Rechenwerk 
(2) und dem zweiten Rechenwerk (4) derart verbunden 
ist, daB synchron dem ersten Rechenwerk (2) Daten 
und dem zweiten Rechenwerk (4) das Komplement der 
■' Daten zugefuhrt werden; und 

einer Befehlsquelie, welche ein Paar von Befehlen auf r 
weist, wobei einer der Befehle des Befehlspaares fur 
das erste Rechenwerk (2) vorgeseheri ist und wobei der 
andere Befehl des Befehlspaares fur das zweite Re- 
chenwerk (4) vorgesehen ist, und die mit dem ersten 
^ Rechenwerk (2) und dem zweiten Rechenwerk (4) der- 
art verbunden ist, daB synchron der fur das erste Re- 
chenwerk (2) vorgesehene Befehl. des. Befehlspaares 
dem ersten Rechenwerk (2) und der fur das, zweite Re- 
chenwerk (4) vorgesehene Befehl des Befehlspaares 
dern zweiten Rechenwerk (4) zugefuhrt werden kon- 
nen. 

.12. Prozessor gemaB Ahspruch 11, bei dem der fur das 
erste Rechenwerk (2) vorgesehene Befehl und der fur 
das zweite Rechenwerk (4) vorgesehene Befehl gleich 
sind. 

13. Chipkarte mit einem Prozessor. gemaB einem der 
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